Hogyan telepítsünk SSL-t az Apache Tomcat-be?

Részletes útmutató az SSL / TLS tanúsítvány beállításához a Tomcat kiszolgálón.


A Tomcat biztonságának egyik alapvető feladata az SSL-tanúsítvány konfigurálása, így a webes alkalmazás elérhető HTTPS.

Ennek elérésére számos módszer létezik.

  • Az SSL megszüntethető egy terheléselosztón
  • Hajtsa végre az SSL-t CDN szinten
  • Használjon webkiszolgálókat, például Apache, Nginx stb., És telepítse ott az SSL-t

Ha azonban a fentiek közül egyiket nem használja, vagy előtérként használja, vagy SSL telepítésére van szüksége közvetlenül a Tomcat-ban, akkor a következő segít.

Ebben a cikkben az alábbiak szerint járunk el.

  • CSR generálása (tanúsítvány aláírási kérése)
  • Tanúsítvány importálása kulcstároló fájlba
  • Engedélyezze az SSL-t a Tomcat-ben
  • Konfigurálja a TLS protokollt
  • Változtasd a Tomcatot, hogy hallgass a 443-as porton
  • Ellenőrizze a Tomcat SSL-sérülékenységét

Kezdjük…

Felkészülés az SSL / TLS tanúsítványra

Az első lépés egy CSR elkészítése, és az aláírás tanúsító hatóság. A tanúsítványok kezeléséhez a keytool segédprogramot fogjuk használni.

  • Bejelentkezés a Tomcat szerverre
  • Menjen a tomcat telepítési útvonalához
  • Hozzon létre egy ssl nevű mappát
  • Végezzen parancsot a következőre: hozzon létre egy kulcstárolót

keytool -genkey -alias domainname -keyalg RSA -kulcsméret 2048 -keystore fájlnév.jks

A fenti parancsokban két változó van, amelyeket módosíthat.

  1. Alias ​​- jobb, ha értelme marad, hogy a jövőben gyorsan felismerhesse. Inkább tartom domain névként.
  2. Fájlnév – megint jó, ha megtartja a domain nevet.

Volt:

[[Email protected] ssl] # keytool -genkey -alias bloggerflare -keyalg RSA -keysize 2048 -keystore bloggerflare.jks
Írja be a kulcstároló jelszavát:
Írja be újra az új jelszavát:
Mi a kereszt- és utóneved??
[Ismeretlen]: bloggerflare.com
Mi a szervezeti egység neve??
[Ismeretlen]: Blogolás
Mi a szervezet neve??
[Ismeretlen]: Geek Flare
Mi a neve a városodnak vagy a településednek??
[Ismeretlen]:
Mi a neve az Ön államának vagy tartományának??
[Ismeretlen]:
Mi az ennek a készüléknek a kétbetűs országkódja??
[Ismeretlen]:
CN = bloggerflare.com, OU = blog, O = Geek Flare, L = ismeretlen, ST = ismeretlen, C = ismeretlen helyes?
[nem igen

Írja be a kulcs jelszavát
(VISSZA, ha megegyezik a kulcstároló jelszavával):

[[Email protected] ssl] #

Figyelni az utónév és a vezetéknév kérdése. Szerintem ez egy kissé félrevezető. Nem a nevét, hanem a domain nevet szeretné megvédeni.

Miután megadta az összes információt, létrehoz egy kulcstároló fájlt a jelenlegi működő könyvtárban.

Következő lenne az generál egy új CSR-t az újonnan létrehozott kulcstárolóval az alábbi paranccsal.

keytool -certreq -alias bloggerflare -keyalg RSA -fájl bloggerflare.csr -keystore bloggerflare.jks

Ezzel létrejön egy CSR, amelyet el kell küldeni a tanúsító hatóságnak az aláíráshoz. Ha körül játszol, akkor fontolóra veheti egy INGYENES tanúsítvány szolgáltató igénybevételét, különben prémium kategóriás lehet.

Aláírtam a tanúsítványt, és továbbmegyek importálás a kulcstárba az alábbi paranccsal.

  • Az import gyökér tanúsítványt a szolgáltató adja ki

keytool -importcert -alias gyökér -fájl gyökér -keystore bloggerflare.jks

  • Köztes tanúsítvány importálása

keytool -importcert -alias közbenső -fájl közbenső -keystore bloggerflare.jks

jegyzet: gyökér importálása nélkül & közbensőként nem fogja tudni importálni a domain tanúsítványt a kulcstárba. Ha egynél több közbenső van, akkor mindet importálnia kell.

  • Importálja a domain tanúsítványt

keytool -importcert -file bloggerflare.cer -keystore bloggerflare.jks -alias bloggerflare

és megerősítést kap a telepítésről.

A tanúsítványválaszt a kulcstárolóba telepítettük

Nagy, így a tanúsítványkulcstár már készen áll. Menjünk a következő lépésre.

Ha még nem ismeri az SSL-t, és szeretne többet tudni, regisztráljon erre az online tanfolyamra – SSL / TLS műveletek.

Engedélyezze az SSL-t a Tomcat-ben

Feltéve, hogy továbbra is bejelentkezett a Tomcat szerverre, ugorjon a conf mappába

  • Készítsen biztonsági másolatot a server.xml fájlról
  • Lépjen a szakaszba, és adjon hozzá egy sort

SSLEnabled ="igaz" rendszer ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="chandan" clientAuth ="hamis" sslProtocol ="TLS"

  • Ne felejtsd el megváltoztatni a kulcstároló fájlnevét és jelszavát
  • Indítsa újra a tomcatot, és látnia kell, hogy a Tomcat elérhető a HTTPS-en keresztül

Édes!

Szabványos HTTPS port

Miért?

Nos, ha megnézzük a fenti képernyőképet, akkor a Tomcat 8080 feletti oldalán kezelem a https-et, amely nem szabványos, és még néhány ok.

  • Nem akarja megkérni a felhasználókat, hogy használják az egyéni portot
  • A böngésző figyelmeztet, amikor a porton kívüli domain névnél tanúsítványt adnak ki

Tehát az az ötlet, hogy a Tomcatot hallgassa a 443-as porton, így csak a https: // porton keresztül érhető el portszám nélkül.

Ehhez szerkessze a server.xml fájlt a kedvenc szerkesztőjével

  • Menj 
  • Változtassa meg a portot 8080-ról 443-ra
  • Ennek így kell kinéznie
  • Indítsa újra a Tomcat alkalmazást, és portszám nélkül hozzáférjen az alkalmazáshoz a https segítségével

Hatásos, ez sikeres!

SSL / TLS biztonsági rés teszt

Végül elvégzünk egy tesztet, hogy megbizonyosodjunk arról, hogy nem érzékeny-e az online fenyegetések.

Számos online eszköz van, amelyekről itt beszéltem, és itt az SSL Labs-ot fogom használni.

  • Menj SSL Labs és írja be az URL-t a teszt megkezdéséhez

És ez az ZÖLD – Minősítés.

Ez azonban mindig jó ötlet, ha lefelé görgeti a jelentést, és megnézheti, hogy talál-e sebezhetőséget, és kijavítja.

Tehát ennyi volt a mai napra.

Remélem, hogy ez segít megismerni a Tomcat SSL / TLS tanúsítvánnyal való biztonságos védekezését. Ha többet szeretne tudni, akkor ezt nagyon ajánlom tanfolyam.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map